Si ha asistido a algún seminario o simposio sobre gestión de riesgos de proveedores externos (TPVRM) durante el último año, habrá oído mencionar con frecuencia la expresión «supervisión continua» como un requisito emergente.
La supervisión continua es un paso más allá de los requisitos de supervisión continua. En parte, los reguladores buscan comprobar que su programa de revisión de proveedores tiene la capacidad de identificar cualquier problema con un proveedor que pueda surgir o darse a conocer fuera del ciclo de revisión periódico. La aparición de amenazas a la ciberseguridad derivadas de las relaciones con terceros está impulsando el paso de la supervisión continua a la supervisión permanente.
Seguimiento continuo
La supervisión continua se ha convertido en la base histórica de los programas eficaces de gestión de riesgos de terceros (TPRM). A menudo, desde el momento en que se incorpora un nuevo proveedor o según un calendario de revisiones periódicas indexado a la exposición al riesgo de la relación, la supervisión continua garantiza una visibilidad constante de la relación con el proveedor con el fin de detectar posibles problemas.
El seguimiento continuo de la relación con un proveedor incluye el conocimiento de sus finanzas empresariales, las auditorías de control, los planes y pruebas de continuidad y resiliencia, las coberturas de seguros y su postura en materia de seguridad de la información. El seguimiento continuo también incluye el seguimiento del rendimiento específico en lo que se refiere a la satisfacción general de su organización con un proveedor y el cumplimiento de los niveles de servicio definidos para la entrega de productos o servicios.
El reto de la seguridad de la información
Históricamente, con una supervisión continua, la verificación de una disciplina de seguridad de la información bien estructurada con un proveedor que posee datos confidenciales de la organización o de los clientes, que podría incluir cuestionarios e incluso certificaciones, se ha aceptado como una diligencia debida adecuada para mitigar cualquier exposición al riesgo.
Por otro lado, una estrategia de supervisión continua aplicada a la seguridad de la información aumenta la apuesta y, probablemente, la participación de su proveedor. Al igual que las noticias y las alertas de noticias inclusivas permiten identificar amenazas de riesgo de terceros fuera del ciclo de revisión, se necesita un proceso similar para supervisar y alertar a su organización sobre una amenaza de riesgo para sus datos confidenciales confiados a otro tercero, o incluso mantenidos por la infraestructura de TI de su organización.
Creemos que la supervisión continua de la ciberseguridad de su propia infraestructura de TI y de las relaciones con los proveedores críticos es la mejor práctica actual del sector y se convertirá en un requisito de facto, si no en una normativa, en los próximos 24 meses.
Además de ser una buena práctica, es una medida prudente para cualquier marco de gestión de riesgos. Se trata de una predicción bastante atrevida, pero dada la amplitud de los actores maliciosos y la exposición y los costes de una violación de la seguridad de la información, es una conclusión lógica, pero solo si se dispone de un medio de supervisión eficaz y asequible, como creemos que es el caso actualmente.
La capacidad de mantenerse al día con el entorno dinámico que exigen los negocios actuales está definiendo soluciones, requisitos y responsabilidades ampliados para todos. Para satisfacer esta necesidad inminente, debe considerar la adopción de una potente solución de gestión de riesgos de proveedores (VRM) con las herramientas de supervisión continua que necesitará hoy y en el futuro.
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
